|
Masterbootsektor mit BOO/TDss.M vereucht Hi, kurz zur Vorgeschichte. Hatte etwa vor 2 Wochen einen ziemlich üblen Wurm auf meinem PC, leider weiß ich die genaue Bezeichnung nicht mehr. Jedenfalls stand in der Avira Antivir Beschreibung zu diesem Wurm, dass er sehr schnell sehr viele Dateien infiziert. Das hat er auch getan, ich habe bei einem Scan von Antivir etwa 3000 infizierte Dateien gehabt. Daraufhin hat Antivir diese Dateien gelöscht und der ganze PC war im Ar***. Ich konnte viele Programme nicht mehr starten und sogar das Recoverytool war nicht mehr zu öffnen. (das Wiederherrstellungstool von Sony VAIO) Somit bin ich über die F10 Taste in den Recoveryzustand gelangt und habe den PC wiederherstellen lassen. Während dieses Vorgangs wollte das Programm eine CD von mir haben, die es nicht gibt. Somit haben nach der Wiederherstellung einige Treiber gefehlt, die ich aber über die Sony-HP runterladen konnte. Auch die ganzen vorinstallierten Programme waren nach der Wiederherstellung nicht mehr da. Naja das ist eigentlich nicht so schlimm, ist ja größtenteils nichts Wichtiges. Jetzt ist mit in den letzten Tagen aufgefallen, dass mein PC, vor allem wenn ich im Firefox-Browser bin, ziemlich rumspinnt. Wenn ich auf eine Seite(z.B. web.de, facebook, google, etc.) will, öffnet er einfach eine andere, meist heißt die "VID-Finder" oder so. Und oft springt dann auch das Antivir an und meldet einen Virenzugriff, den ich aber dann zum Glück verweigern kann. Also habe ich wieder Antivir suchen lassen, aber der hat erst mal nichts gefunden. Dann gestern hat er doch was gefunden. Und zwar in den Masterbootsektoren. Antivir zeigte auch nur an, dass dort ein Virus gefunden wurde: BOO/TDss.M Ich konnte allerdings die Viren nicht löschen oder sonst was mit ihnen anstellen. Hier der Auszug aus der Antivir-Report: Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [FUND] Enthält Code des Bootsektorvirus BOO/TDss.M [HINWEIS] Der Sektor wurde nicht neu geschrieben! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [FUND] Enthält Code des Bootsektorvirus BOO/TDss.M [HINWEIS] Der Sektor wurde nicht neu geschrieben! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1723' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' Habe dann gestern dieses Forum gefunden und hoffe ihr könnt mir helfen. Habe Logfiles erstellt: OTL, Extras, Gmer, TDSSKiller Habe sie gezippt und angehängt. Ich hoffe jemand kann mir helfen, auf jeden Fall schon im Vorraus danke an alle die sich bemühen werden :daumenhoc LG Lilithilli |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Malwarebytes habe ich noch nicht benutzt, soll ich das auch scannen lassen? LG lilithilli |
Ja! (10zeichen) |
so hier die logdatei Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6484 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.19019 01.05.2011 18:24:53 mbam-log-2011-05-01 (18-24-53).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 143686 Laufzeit: 5 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: c:\Windows\Temp\ajbs\setup.exe (Heuristics.Shuriken) -> 5524 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Heuristics.Shuriken) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AMService (Heuristics.Shuriken) -> Value: AMService -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Windows\Temp\ajbs\setup.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully. ist das alles? lg lilithilli |
Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hi, hatte nen Quickscan gemacht, weil das so in der anleitung für Mlewarebytes so stand ;) Habe dann eben den vollständigen Scan gemacht. Hier die Logfile dazu: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6484 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.19019 01.05.2011 21:27:39 mbam-log-2011-05-01 (21-27-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 254148 Laufzeit: 1 Stunde(n), 21 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Diesmal hat er dann auch nichts mehr gefunden. Hoffe das hilft weiter. LG lilithilli |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hi, hat alles geklappt :daumenhoc, der Rechner wurde neugestartet. Die Logfile wurde dann nach dem Neustart angezeigt. Code: All processes killed |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
wenn ich combofix herunterladen will, kann ich es nicht umbenennen. LG lilithilli |
Rechtsklick => Ziel speichern unter Sollte eine ziemlich bekannte Funktion sein :pfeiff: |
Hi, also hab es dann geschafft über IE die Datei so zu speichern, bei Firefox hab ichs nicht geschafft. Wollte dann die Datei ausführen. Hatte davor auch den CCleaner laufen lassen. Combofix startete so einen Balken, der grün wurde und dann kam auf einmal ein Bluescreen, der sp ungefähr sagte, dass mein System gefärdet sei und der PC deswegen sicherheitshalber runtergefahren wird. Das passierte dann auch nach 3 sekunden. Er startete dann wieder neu und ich ließ ihn auch wieder im normalen Modus hochfahren. Jetzt ist mein Deskophintergrundbild schwarz. Soll ich nochmals versuchen cofi.exe auszuführen? LG Lilithilli |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. |
Hi, wieder ein ähnliches Spiel. Diesmal ließ sich Combofix zwar öffnen, es kam auch die besagte Warnmeldung und die Anwendung fing an zu laufen, aber irgendwann mittendrin fuhr der PC wieder runter und startete neu. Es wurde auch keine Datei combofix.txt geöffnet oder unter C:\Combofix.txt angelegt. Soll ich noch einen Versuch starten? LG Lilithilli |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board